2.4.7. 업무환경 보안

 

항목	2.4.7. 업무환경 보안
키워드	시설(문서고), 기기(복합기,파일서버), 개인 업무환경(PC,책상) 보호대책, 주기적 검토
인증기준	공용으로 사용하는 사무용 기기(문서고, 공용 PC, 복합기, 파일서버 등) 및 개인 업무 환경(업무용 PC, 책상 등)을 통하여 개인정보 및 중요정보가 비인가자에게 노출 또는 유출되지 않도록 클린데스크, 정기점검 등 업무환경 보호대책을 수립·이행하여야 한다.
주요 확인사항	Ÿ 문서고, 공용 PC, 복합기, 파일서버 등 공용으로 사용하는 시설 및 사무용 기기에 대한 보호대책을 수립·이행하고 있는가?   Ÿ 업무용 PC, 책상, 서랍 등 개인업무 환경을 통한 개인정보 및 중요정보의 유·노출을 방지하기 위한 보호대책을 수립·이행하고 있는가?   Ÿ 개인 및 공용업무 환경에서의 정보보호 준수 여부를 주기적으로 검토하고 있는가?
관련 법규	Ÿ 개인정보 보호법 제29조(안전조치의무)   Ÿ 개인정보의 안전성 확보조치 기준 제10조(관리용 단말기의 안전조치), 제11조(물리적 안전조치)   Ÿ 개인정보의 기술적·관리적 보호조치 기준 제8조(물리적 접근방지), 제9조(출력·복사 시 보호조치)
증거자료   (예시)	Ÿ 사무실 및 공용공간 보안점검 보고서   Ÿ 사무실 및 공용공간 보안점검표   Ÿ 미준수자에 대한 조치 사항(교육, 상벌 등)
결함사례	사례 1 : 개인정보 내부관리계획서 내 개인정보보호를 위한 생활보안 점검(클린데스크 운영 등)을 정기적으로 수행하도록 명시하고 있으나, 이를 이행하지 않은 경우   사례 2 : 멤버십 가입신청서 등 개인정보가 포함된 서류를 잠금장치가 없는 사무실 문서함에 보관한 경우   사례 3 : 직원들의 컴퓨터 화면보호기 및 패스워드가 설정되어 있지 않고, 휴가자 책상 위에 중요 문서가 장기간 방치되어 있는 경우   사례 4 : 회의실 등 공용 사무 공간에 설치된 공용PC에 대한 보호대책이 수립되어 있지 않아 개인정보가 포함된 파일이 암호화되지 않은 채로 저장되어 있거나, 보안 업데이트 미적용, 백신 미설치 등 취약한 상태로 유지하고 있는 경우